İlk olarak Nisan 2019'un sonunda ortaya çıkan müthiş bir Hizmet Olarak Fidye Yazılımı (RaaS) operasyonu REvil geri döndü. Altı ay boyunca hareketsiz kaldıktan sonra – Rus yetkililerin baskınının ardından – fidye yazılımı grubu faaliyete yeniden başlamış gibi görünüyor.
Yeni fidye yazılımı örneklerinin analizi, geliştiricinin REvil'in kaynak koduna erişimi olduğunu, yani tehdit grubunun yeniden ortaya çıktığını ortaya koyuyor. Bu şüpheler, fidye yazılımı ekibinin sitesi karanlık ağda yeniden açıldığında daha da güçlendi.
Daha önce çok sayıda fidye yazılımı grubu gördük, peki REvil'i özel yapan nedir? Grubun dönüşü siber dünya için ne anlama geliyor? Hadi bulalım!
REvil Ransomware'i Benzersiz Kılan Nedir?
REvil, yüksek profilli ve yüksek kazançlı hedeflerin peşinden gitmesi ve kurbanlarından fahiş ödemeler talep etmesiyle itibar kazandı. Ayrıca, kurbanın verilerini sızdırdıkları ve şifreledikleri çifte gasp taktiğini benimseyen ilk gruplardan biridir.
bu çifte gasp fidye yazılımı plan, REvil'in yüksek finansal kazançlar için iki fidye talep etmesine izin verir. ile bir röportajda
Rus OSINT, grup geliştiricileri, büyük işletmeleri hedefleyerek bir yılda 100 milyon dolardan fazla kazandıklarını iddia ettiler. Ancak, bunun sadece bir kısmı geliştiricilere giderken, iştirakler aslan payını aldı.Büyük REvil Fidye Yazılım Saldırıları
REvil fidye yazılımı grubu, bazılarının arkasında olmuştur. 2020-21'in en büyük fidye yazılımı saldırıları. Grup ilk olarak 2020'de Travelex'e saldırdığında dikkatleri üzerine çekti ve sonuçta şirketin ölümüne yol açtı. Ertesi yıl, REvil kamu altyapısını ve tedarik zincirlerini bozan yüksek kazançlı siber saldırılar düzenleyerek manşetlere çıkmaya başladı.
Grup, Acer, Quanta Computer, JBS Foods ve BT yönetimi ve yazılım sağlayıcısı Kaseya gibi şirketlere saldırdı. Grubun muhtemelen bazı bağlantıları vardı kötü şöhretli Koloni Boru Hattı saldırısıABD'de yakıt tedarik zincirini bozdu.
Kaseya REvil fidye yazılımı saldırısının ardından grup, kendisine getirdiği istenmeyen ilgiyi azaltmak için bir süre sessiz kaldı. Grubun 2021 yazında yeni bir dizi saldırı planladığına dair çok fazla spekülasyon vardı, ancak kolluk kuvvetlerinin REvil'in operatörleri için başka planları vardı.
REvil Siber Çetesi için Hesaplaşma Günü
Kötü şöhretli fidye yazılımı çetesi yeni saldırılar için yeniden ortaya çıktıkça, altyapılarının güvenliğinin ihlal edildiğini gördüler ve kendilerine karşı döndüler. Ocak 2022'de Rus devlet güvenlik servisi FSB, ABD'nin talebi üzerine grubun faaliyetlerini aksattığını duyurdu.
Birkaç çete üyesi tutuklandı ve milyonlarca ABD doları, avro ve rublenin yanı sıra 20 lüks araba ve kripto para cüzdanı da dahil olmak üzere varlıklarına el konuldu. REvil fidye yazılımı tutuklamaları, yetkililerin Kaseya saldırısında bir şüpheliyi gözaltına aldığı Polonya da dahil olmak üzere Doğu Avrupa'da da yapıldı.
Kilit grup üyelerinin tutuklanmasından sonra REvil'in düşüşü güvenlik camiasında doğal olarak memnuniyetle karşılandı ve birçoğu tehdidin tamamen geçtiğini varsaydı. Ancak çete şimdi yeniden faaliyete geçtiği için rahatlama hissi kısa sürdü.
REvil Ransomware'in Yeniden Dirilişi
Araştırmacılar Secureworks Mart ayındaki bir kötü amaçlı yazılım örneğini analiz etti ve çetenin tekrar harekete geçebileceğini ima etti. Araştırmacılar, geliştiricinin muhtemelen REvil tarafından kullanılan orijinal kaynak koduna erişimi olduğunu buldu.
REvil sızıntısı web sitesi tarafından kullanılan alan adı da yeniden çalışmaya başladı, ancak şimdi ziyaretçileri 250'den fazla REvil kurban kuruluşunun listelendiği yeni bir URL'ye yönlendiriyor. Liste, REvil'in eski kurbanlarının ve birkaç yeni hedefin bir karışımını içeriyor.
Bir Hint petrol şirketi olan Oil India, yeni kurbanların en göze çarpanıydı. Şirket veri ihlalini doğruladı ve 7,5 milyon dolarlık fidye talebiyle karşılandı. Saldırı, REvil'in operasyonlara devam ettiği yönünde spekülasyonlara neden olsa da, bunun bir taklit operasyonu olup olmadığı konusunda hala sorular vardı.
REvil'in geri döndüğünü doğrulamanın tek yolu, fidye yazılımı işleminin şifreleyicisinin bir örneğini bulmak ve orijinal kaynak kodundan derlenip derlenmediğini görmekti.
Nisan ayının sonlarında, Avast araştırmacısı Jakub Kroustek, fidye yazılımı şifreleyicisini keşfetti ve bunun gerçekten bir REvil varyantı olduğunu doğruladı. Örnek, dosyaları şifrelemedi, ancak dosyalara rastgele bir uzantı ekledi. Güvenlik analistleri, bunun fidye yazılımı geliştiricileri tarafından tanıtılan bir hata olduğunu söyledi.
Birden fazla güvenlik analisti, yeni fidye yazılımı örneğinin orijinal kaynak koduyla bağlantılı olduğunu, yani çeteden birinin - örneğin bir çekirdek geliştiricinin - dahil olması gerektiğini belirtti.
REvil Grubunun Kompozisyonu
REvil'in bu yılın başlarında iddia edilen tutuklamalardan sonra yeniden ortaya çıkması, grubun oluşumu ve Rus hükümetiyle olan bağları hakkında soruları gündeme getirdi. Çete, Rusya-Ukrayna çatışması başlamadan önce başarılı ABD diplomasisi nedeniyle karanlıkta kaldı.
Birçoğu için, grubun aniden yeniden canlanması, Rusya'nın onu devam eden jeopolitik gerilimlerde bir güç çarpanı olarak kullanmak isteyebileceğini gösteriyor.
Henüz kimsenin kimliği belirlenemediğinden, operasyonun arkasında kimin olduğu belli değil. Bunlar önceki operasyonları yürüten kişiler mi yoksa yeni bir grup devralındı mı?
Kontrol grubunun bileşimi hala bir sır. Ancak bu yılın başlarındaki tutuklamalar göz önüne alındığında, grubun daha önce REvil'in bir parçası olmayan birkaç operatöre sahip olması muhtemeldir.
Bazı analistler için fidye yazılımı gruplarının aşağı inip başka biçimlerde yeniden ortaya çıkması alışılmadık bir durum değil. Bununla birlikte, markanın itibarından yararlanan birinin tutunma noktası oluşturma olasılığı tamamen ortadan kaldırılamaz.
REvil Fidye Yazılım Saldırılarına Karşı Koruma
REvil'in patronunun tutuklanması, özellikle fidye yazılımı grupları kamu kurumlarından hastanelere ve okullara kadar her şeyi hedef aldığında, siber güvenlik için büyük bir gündü. Ancak çevrimiçi suç faaliyetindeki herhangi bir kesintide görüldüğü gibi, bu fidye yazılımı pandemisinin sonu anlamına gelmiyordu.
REvil durumundaki tehlike, grubun verilerinizi satmaya ve bir markanın imajını ve müşteri ilişkilerini zedelemeye çalışacağı çifte gasp planıdır.
Genel olarak, bu tür saldırılara karşı koymak için iyi bir strateji, ağınızı güvence altına almak ve simülasyon testleri yapmaktır. Bir fidye yazılımı saldırısı genellikle yama uygulanmamış güvenlik açıkları nedeniyle gerçekleşir ve simülasyon saldırıları bunları tanımlamanıza yardımcı olabilir.
Diğer bir önemli azaltma stratejisi, ağınıza erişmeden önce herkesi doğrulamaktır. Bu nedenle, sıfır güven stratejisi, kimseye asla güvenmeme ve her kullanıcıyı ve cihazı ağ kaynaklarına erişim vermeden önce doğrulama temel ilkesi üzerinde çalıştığı için faydalı olabilir.
